Des hackers nord-coréens utilisent des appels Zoom malveillants pour cibler les utilisateurs de cryptomonnaies sur Telegram

Les hackers nord-coréens utilisent de plus en plus des réunions Zoom trompeuses pour compromettre les victimes et voler des crypto-actifs, selon l’organisation à but non lucratif de cybersécurité Security Alliance (SEAL).

Ces réunions Zoom malveillantes, qui visent souvent des figures de haut niveau en cryptomonnaie, sont devenues quotidiennes, a averti l’équipe SEAL dans un récent post X.

« SEAL suit de multiples tentatives QUOTIDIENNES d’acteurs nord-coréens utilisant des tactiques de 'faux Zoom' pour propager des malwares ainsi que pour augmenter leur accès à de nouvelles victimes. L’ingénierie sociale est à la racine de l’attaque », a écrit le groupe.

Dans un autre article publié le même jour, le chercheur en cybersécurité Taylor Monahan a expliqué que ce vecteur d’attaque a déjà drainé plus de 300 millions de dollars des portefeuilles d’utilisateurs inattentifs.

Des hackers nord-coréens utilisent Zoom pour diffuser des scripts malveillants

L’arnaque commence généralement par des acteurs malveillants qui contactent via un compte Telegram appartenant à une personne connue par la victime.

Parce que le récit lui est familier, la victime est bercée dans un faux sentiment de confiance et finit par être entraînée dans une conversation informelle qui mène à une invitation en appel vidéo Zoom.

Les hackers partagent ensuite un lien malveillant déguisé pour ressembler à une invitation Zoom standard. Sur cette page, les victimes peuvent voir ce qui semble être leur contact, ainsi que des collègues ou partenaires supposés.

Selon Monahan, il ne s’agit pas de deepfakes mais de véritables vidéos enregistrées lors de piratages précédents ou de sources publiques comme des podcasts.

Une fois l’appel lancé, les hackers font semblant d’avoir des problèmes audio et convainquent la victime qu’un correctif est nécessaire pour résoudre le problème.

La victime reçoit alors un fichier à installer, souvent nommé quelque chose comme « Zoom Update SDK.scpt », qui exécute du code AppleScript malveillant. Dans d’autres cas, les victimes doivent copier-coller une correction dans leur terminal.

« La 'mise à jour' est souvent un 'SDK.scpt de mise à jour Zoom' qui s’ouvre ou s’exécute dans AppleScript. Il y a beaucoup d’espaces vides pour cacher le code malveillant. Dans d’autres cas, on copier-coller la « correction ». Il est écrit que c’est un succès. Mais cela ne résout pas le problème. Alors tu finis par reporter », expliqua Monahan.

Ce que la victime ne réalise pas, c’est que le malware est déjà actif car le script malveillant infecte silencieusement le système et commence à exfiltrer des données sensibles, à voler des mots de passe, à stocker wallets crypto dans le navigateur, voire à un accès complet au compte Telegram de l’utilisateur.

Comment prévenir les pertes

Comme mesure post-incident, Monahan conseille à toute personne ayant cliqué sur un tel lien ou ouvert un fichier suspect de se déconnecter immédiatement du WiFi et d’éteindre l’appareil affecté.

À l’aide d’un appareil séparé et non compromis, les victimes doivent transférer leurs actifs crypto vers de nouveaux portefeuilles, modifier tous les identifiants de connexion et activer l’authentification à deux facteurs autant que possible.

Elle a également souligné l’importance de verrouiller les comptes Telegram, de conseiller aux utilisateurs de se connecter via un téléphone, d’aller dans les paramètres, de mettre fin à toutes les sessions actives sauf celle actuelle, de changer le mot de passe et d’activer l’authentification multifacteur.

Plus important encore, Monahan a exhorté les victimes à alerter immédiatement leurs contacts, car les assaillants utilisent souvent l’accès aux comptes Telegram pour identifier et cibler la prochaine vague de victimes.

« S’ils piratent ton télégramme, tu dois PRÉVENIR TOUT LE MONDE AU PLUS VITE. Tu es sur le point [to] pirater tes amis. Veuillez mettre votre fierté de côté et CRIER à ce sujet », ajouta-t-elle.

Un vecteur d’attaque récurrent

Les hackers nord-coréens, soupçonnés d’être à l’origine de certains des plus grands vols de cryptomonnaies de ces dernières années, y compris le piratage de Bybit de 1,5 milliard de dollars, ont de plus en plus utilisé ces tactiques malveillantes de Zoom pour infiltrer des cibles très médiatisées tout au long de 2025.

Une de ces affaires, en septembre, impliquait JP Thor, cofondateur de THORChain, qui aurait perdu environ 1,3 million de dollars après être tombé dans une arnaque similaire.

Un script malveillant déclenché lors de l’appel Zoom fictif a accédé à son stockage iCloud, extrait ses identifiants de portefeuille MetaMask et vidé des fonds, le tout sans déclencher aucune alerte de sécurité ni avertissement administrateur.

Au-delà des appels Zoom, ces hackers ont même utilisé d’autres vecteurs d’attaque complexes, comme l’intégration directe de malwares dans les contrats intelligents Ethereum et BNB pour siphonner discrètement les cryptomonnaies.